Huidige situatie
Het wetsartikel dat meestal de "cookiewet" wordt genoemd is artikel 11.7a van de Telecommunicatiewet. Dit artikel vloeit voort uit de ePrivacy-richtlijn van de Europese Unie.
Deze richtlijn geeft lidstaten enige ruimte om zelf bepaalde keuzes te maken. Nederland heeft die ruimte benut en zo bijvoorbeeld ook enkele jaren terug de Nederlandse cookieregels iets minder streng gemaakt.
Het effect van de ruimte die de richtlijn biedt is wel dat er in verschillende landen van de EU verschillend over cookies gedacht wordt. Multinationals moeten dus in 28 landen van de EU aan 28 varianten van de "cookiewet" voldoen. Dat is niet wenselijk.
Voorstel toekomstige situatie rondom cookies
De Europese Commissie stelt voor vanaf 25 mei 2018 de bestaande richtlijn in te trekken en te vervangen door een verordening. Dat betekent dat de nationale wetten zullen worden vervangen door een hogere Europese "wet". Daarmee verdwijnen de nationale verschillen (tot op zekere hoogte, want het zijn nog steeds nationale toezichthouders die moeten gaan handhaven).
De systematiek rondom cookies blijft grotendeels gelijk: voor het plaatsen en/of uitlezen van cookies is toestemming nodig.
Die toestemming is alleen niet nodig indien het opslaan/uitlezen van de informatie noodzakelijk is voor:
- de overdracht van de gegevens;
- het leveren van de door de eindgebruiker verzochte dienst;
- het door de dienstenaanbieder zelf bijhouden van webstatistieken (dus niet bijhouden door een derde!).
Nieuw is dat toestemming gegeven kan worden door het als zodanig instellen van de browser(artikel 9 lid 2). Software die op de markt komt moet bij installatie de gebruiker wijzen op de privacy opties (artikel 10 lid 2). Bestaande software moet die keuze bij de eerste update aan de gebruiker voorleggen.
Op schending van de nieuwe cookieregels staat straks een boete van maximaal 10.000.000 (10 miljoen) euro of 2% van de wereldwijde omzet.
Voorstel nieuwe regels omtrent device fingerprinting
Bij het surfen over internet zendt de eigen apparatuur per definitie allerlei gegevens mee (over de browserversie, het besturingsysteem, het IP-adres, etc.). Het voorstel introduceert nieuwe regels omtrent het gebruik van dergelijke informatie.
Het nieuwe artikel 8 lid 2 bepaalt namelijk dat dergelijke door de eigen apparatuur verzonden informatie alleen mag worden gebruikt:
- om een verbinding mogelijk te maken; of
- wanneer de gebruiker over de dataverzameling wordt geïnformeerd en de mogelijkheid van een opt-out wordt geboden.
Dit criteria zijn streng. Het komt er in de kern op neer dat de door de randapparatuur verzonden gegevens niet gebruikt mogen worden, tenzij de gebruiker daarover geïnformeerd is.
Naar mijn idee wordt hierbij over het hoofd gezien dat er situaties zijn waarbij die informatie wordt uitgelezen, terwijl dat vanuit het perspectief van de privacy bezien heel onschuldig is. Ik ga daar op het slot van het bericht nader op in.
Het voorstel erkent overigens hiermee (impliciet) ook dat het zogenaamde device fingerprinting niet onder de oude (huidige) cookiewet viel (voor zover er geen aanvullende informatie over de gebruikte software werd opgevraagd).
Ook op schending van dit artikel staat volgens het voorstel 10 miljoen euro boete.
Kritische noot
De gebruiker wordt door de nieuwe regels voor browsers (artikel 10) gedwongen een keuze te maken rondom het gebruik van cookies. Dat lijkt me haaks staan op de definitie van toestemming, die immers vrij gegeven moet zijn. Bovendien vraag ik me af of de cookiewet zo niet vanzelf tot een "wassen neus" wordt, omdat de aanbevolen instelling waarschijnlijk zal zijn dat cookies geaccepteerd worden.
Voor zover mij bekend is dit ook van de weinige verordeningen die features afdwingt in software. En dat nota bene op straffe van een boete van 10 miljoen euro. Gek genoeg is overigens maar de vraag of de aanbieders van dergelijke software wel onder het toepassingsbereik van de verordening vallen (zie artikel 2 en 3). De verordening ziet immers - samengevat - op het leveren van elektronische communicatiediensten, niet op het aanbieden van software.
Verder denk ik dat er allerlei situaties zijn waarbij het uitlezen van header-informatie zeer onschuldig is. Die onschuldige, en voor de eindgebruiker veelal gunstige, gebruiken zouden straks - op straffe van 10 miljoen euro boete - verboden zijn.
Te denken valt aan bepaalde vormen van responsive web design. Daarbij wordt snel getoetst of een browser bepaalde features ondersteunt, om vervolgens de juiste versie van de website te tonen (hetzij via header-info, hetzij door het uitlezen van info op de randapparatuur van de gebruiker, dan wel een combinatie daarvan). Dat is in het belang van de bezoeker. Het gebruiken van die informatie is echter niet noodzakelijk om een verbinding te maken. Immers, je kunt de bezoeker op zijn mobiele telefoon ook de desktop versie van de website voorschotelen.
Een ander eenvoudig voorbeeld waarom ik denk dat deze regels tekortschieten is een check of software nog wel bij te tijd is. Je kunt op de website van Adobe eenvoudig zien of je nog beschikt over de laatste versie van de Flash-plugin. Die controle vindt vermoedelijk plaats door een combinatie van het aanroepen van de plug-in en het uitlezen van de headerinformatie. Dit zou straks dus niet meer zijn toegestaan. Terwijl de gebruiker er bij gebaat is te weten dat hij ogenblikkelijk moet updaten.
Tenslotte roep ik een al wat ouder artikel van mij op deze blog in herinnering. De kern van dat artikel is eenvoudig: het blijft mij onduidelijk waarom een techniek (cookies) zou moeten worden gereguleerd, terwijl er al algemene privacywetgeving is. Als je als wetgever meent dat het erg is dat mensen online worden gevolgd, dan vind je dus kennelijk dat er met dat volgen persoonsgegevens worden verwerkt. En voor het verwerken van persoonsgegevens hebben we al wetgeving.
Hopelijk komt de wetgever nog tijdig tot bezinning. Ik vrees echter dat u zich zult moeten voorbereiden op deze strenge regels.
Advies nodig?
Heeft u advies nodig over de cookiewetgeving of het (bredere) privacyrecht? Neem dan contact met mij op.
Mark Jansen
advocaat IT-recht en privacyrecht
